Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Application Gateway v2 es un equilibrador de carga de tráfico web que funciona en el nivel de aplicación. Application Gateway administra el tráfico a las aplicaciones web en función de los atributos de una solicitud HTTP. Use Application Gateway para escenarios que tengan funcionalidades de enrutamiento avanzadas y requieran mayor seguridad y escalabilidad.
En este artículo se supone que, como arquitecto, ha revisado las opciones de conectividad de red y ha elegido Application Gateway como el equilibrador de carga del tráfico web para su carga de trabajo. La guía de este artículo proporciona recomendaciones arquitectónicas que están alineadas con los principios de los pilares del marco Well-Architected.
Importante
Cómo usar esta guía
Cada sección tiene una lista de comprobación de diseño que presenta áreas arquitectónicas de preocupación junto con estrategias de diseño adaptadas al ámbito tecnológico.
También se incluyen recomendaciones para las funcionalidades tecnológicas que pueden ayudar a materializar esas estrategias. Las recomendaciones no representan una lista exhaustiva de todas las configuraciones disponibles para Application Gateway y sus dependencias. En su lugar, enumeran las recomendaciones clave asignadas a las perspectivas de diseño. Use las recomendaciones para crear la prueba de concepto o para optimizar los entornos existentes.
Arquitectura fundamental que demuestra las recomendaciones clave: Arquitectura de aplicaciones web de línea base con alta disponibilidad y redundancia de zona.
Alcance de la tecnología
Esta revisión se centra en las decisiones relacionadas entre sí para los siguientes recursos de Azure:
- Application Gateway v2
- Firewall de aplicaciones web (WAF) en Application Gateway
Fiabilidad
El propósito del pilar Fiabilidad es proporcionar una funcionalidad continuada mediante la construcción de suficiente resiliencia y la capacidad de recuperarse rápidamente de los fallos.
principios de diseño de confiabilidad proporcionar una estrategia de diseño de alto nivel aplicada a componentes individuales, flujos del sistema y al sistema en su conjunto.
Lista de comprobación de diseño
Comience su estrategia de diseño basándose en la lista de comprobación de revisión de diseño para Fiabilidad. Determine su relevancia para los requisitos empresariales, a la vez que tenga en cuenta las características de Application Gateway y sus dependencias. Amplíe la estrategia para incluir más enfoques según sea necesario.
Use Application Gateway v2 en nuevas implementaciones a menos que la carga de trabajo requiera específicamente Application Gateway v1.
Cree redundancia en el diseño. Distribuir las instancias de Application Gateway entre las zonas de disponibilidad para mejorar la tolerancia a fallos y crear redundancia. El tráfico va a otras zonas si se produce un error en una zona. Para obtener más información, consulte Recomendaciones para el uso de zonas de disponibilidad y regiones.
Planee un tiempo adicional para las actualizaciones de reglas y otros cambios de configuración antes de acceder a Application Gateway o realice más cambios. Por ejemplo, es posible que necesite tiempo adicional para eliminar servidores de un grupo de servidores de back-end porque tienen que liberar las conexiones existentes.
Implemente el patrón de supervisión de puntos de control de salud. Su aplicación debe exponer puntos de conexión de estado, que agregan el estado de los servicios críticos y las dependencias que su aplicación necesita para servir solicitudes. Los sondeos de salud de Application Gateway usan el endpoint para detectar el estado de los servidores en el grupo de servidores del back-end. Para más información, consulte Patrón Health Endpoint Monitoring.
Evalúe el impacto de la configuración de intervalo y umbral en un sondeo de salud. El sondeo de estado envía solicitudes al punto de conexión configurado en un intervalo establecido. Y el backend tolera un número limitado de solicitudes fallidas antes de que se marque como inestable. Esta configuración puede entrar en conflicto, lo que presenta un equilibrio.
Un intervalo mayor coloca una carga mayor en el servicio. Cada instancia de Application Gateway envía su propio sondeo de estado, por lo que 100 instancias cada 30 segundos es igual a 100 solicitudes cada 30 segundos.
Un intervalo inferior aumenta la cantidad de tiempo antes de que el sondeo de estado detecte una interrupción.
Un umbral bajo y no saludable aumenta la posibilidad de fallos transitorios cortos que desactivan un back-end.
Un umbral alto aumenta la cantidad de tiempo que tarda un back-end en salir de la rotación.
Verifique las dependencias downstream a través de puntos de conexión de salud. Para aislar los errores, cada uno de los back-end puede tener sus propias dependencias. Por ejemplo, una aplicación que se hospede detrás de un gateway de aplicaciones podría tener varios backends y cada backend se conecta a diferentes bases de datos o réplicas. Cuando se produce un error en esta dependencia, la aplicación puede funcionar, pero no devuelve resultados válidos. Por ese motivo, el punto de conexión de salud debería validar idealmente todas las dependencias.
Si cada llamada al punto de conexión de salud tiene una llamada de dependencia directa, esa base de datos recibe 100 consultas cada 30 segundos en lugar de una consulta. Para evitar consultas excesivas, el punto de conexión de salud debe almacenar en caché el estado de las dependencias durante un breve periodo de tiempo.
Considere las limitaciones de Application Gateway y los problemas conocidos que podrían afectar a la confiabilidad. Revise las preguntas más frecuentes de Application Gateway para obtener información importante sobre el comportamiento por diseño, las correcciones en construcción, las limitaciones de la plataforma y las posibles soluciones alternativas o estrategias de mitigación. No use udR en la subred dedicada de Application Gateway.
Considere las limitaciones del puerto de traducción de direcciones de red de origen (SNAT) en el diseño que pueden afectar a las conexiones de back-end en Application Gateway. Algunos factores afectan a cómo Application Gateway alcanza el límite de puertos SNAT. Por ejemplo, si el back-end es una dirección IP pública, requiere su propio puerto SNAT. Para evitar limitaciones de puertos SNAT, puede realizar una de las siguientes opciones:
Aumente el número de instancias de Application Gateway.
Escalar los sistemas backend para tener más direcciones IP.
Mueva sus sistemas de fondo a la misma red virtual y use direcciones IP privadas para los sistemas de fondo.
Si Application Gateway alcanza el límite de puertos SNAT, afecta a las solicitudes por segundo (RPS). Por ejemplo, Application Gateway no puede abrir una nueva conexión al back-end y se produce un error en la solicitud.
Recomendaciones
| Recomendación | Ventajas |
|---|---|
| Implemente instancias de Application Gateway en una configuración compatible con zonas. Compruebe la compatibilidad regional con la redundancia de zona porque no todas las regiones ofrecen esta característica. |
Al distribuir varias instancias entre zonas, la carga de trabajo puede soportar errores en una sola zona. Si tiene una zona no disponible, el tráfico cambia automáticamente a instancias saludables en otras zonas, lo que mantiene la fiabilidad de la aplicación. |
| Use sondeos de estado de Application Gateway para detectar la falta de disponibilidad de back-end. | Los sondeos de estado garantizan que el tráfico solo se enruta a back-end que pueda controlar el tráfico. Application Gateway supervisa el estado de todos los servidores del grupo de back-end y detiene automáticamente el envío de tráfico a cualquier servidor que considere incorrecto. |
| Configure reglas de limitación de velocidad para WAF de Azure para que los clientes no puedan enviar demasiado tráfico a la aplicación. | Usa la limitación de tasa para evitar problemas como las tormentas de reintentos. |
| No use UDR en "Application Gateway" para que el informe de salud del back-end funcione correctamente y genere los registros y métricas correctos. Si debe usar una UDR en la subred de Application Gateway, consulte UDR admitidos. |
Las UDR de la subred de Application Gateway pueden causar algunos problemas. No use udR en la subred de Application Gateway para que pueda ver el estado del back-end, los registros y las métricas. |
| Configure los valores de IdleTimeout para que coincidan con las características de escucha y tráfico de la aplicación back-end. El valor predeterminado es de cuatro minutos. Puede configurarlo en un máximo de 30 minutos. Para obtener más información, consulte Restablecimiento y tiempo de espera de inactividad del protocolo de control de transmisión (TCP) del equilibrador de carga. |
Ajuste IdleTimeout para que coincida con el backend. Esta configuración garantiza que la conexión entre Application Gateway y el cliente permanece abierto si el back-end tarda más de cuatro minutos en responder a la solicitud. Si no establece esta configuración, la conexión se cierra y el cliente no ve la respuesta de back-end. |
Seguridad
El propósito del pilar seguridad es proporcionar garantías de confidencialidad, integridad y disponibilidad a la carga de trabajo.
Los principios de diseño de seguridad proporcionan una estrategia de diseño de alto nivel para lograr esos objetivos aplicando enfoques al diseño técnico de Application Gateway.
Lista de comprobación de diseño
Inicie la estrategia de diseño en función de la lista de comprobación de revisión de diseño de seguridad e identifique vulnerabilidades y controles para mejorar la posición de seguridad. Amplíe la estrategia para incluir más enfoques según sea necesario.
Revise la línea de base de seguridad de Application Gateway.
Bloquear amenazas comunes en el perímetro. WAF se integra con Application Gateway. Habilite las reglas de WAF en los front ends para proteger las aplicaciones frente a exploits y vulnerabilidades comunes en el perímetro de red, lo cual está cerca de la fuente del ataque. Para más información, consulte WAF en Application Gateway.
Comprender cómo afecta WAF a los cambios de capacidad de Application Gateway. Al habilitar WAF, Application Gateway:
Bufferiza cada solicitud hasta que llega completamente.
Comprueba si la solicitud coincide con cualquier infracción de regla en su conjunto de reglas principal.
Reenvía el paquete a las instancias de back-end.
Las cargas de archivos grandes que son de 30 MB o más pueden introducir una latencia significativa. Los requisitos de capacidad de Application Gateway cambian al habilitar WAF, por lo que se recomienda probar y validar correctamente este método en primer lugar.
Cuando use Azure Front Door y Application Gateway para proteger aplicaciones HTTP o HTTPS, use directivas de WAF en Azure Front Door y bloquee Application Gateway para recibir tráfico solo desde Azure Front Door. Algunos escenarios pueden obligar a implementar reglas específicamente en Application Gateway. Por ejemplo, si necesita reglas ModSec CRS 2.2.9, CRS 3.0 o CRS 3.1, solo puede implementar estas reglas en Application Gateway. Por el contrario, Azure Front Door admite la limitación de velocidad y el filtrado geográfico, y Application Gateway no admite estas características.
Permitir solo el acceso autorizado al plano de control. Use el control de acceso basado en rol (RBAC) de Application Gateway para restringir el acceso solo a las identidades que lo necesitan.
Proteger los datos en tránsito. Habilite la seguridad de la capa de transporte (TLS), la terminación TLS y el cifrado TLS de un extremo a otro. Al volver a cifrar el tráfico back-end, asegúrese de que el certificado de servidor back-end contenga las entidades de certificación raíz e intermedias (CA).
Use una entidad de certificación conocida para emitir un certificado TLS del servidor back-end. Si no usa una entidad de certificación de confianza para emitir el certificado, Application Gateway comprueba hasta que encuentre un certificado de CA de confianza. Establece una conexión segura solo cuando encuentra una ENTIDAD de certificación de confianza. De lo contrario, Application Gateway marca el backend como no saludable.
Protección de secretos de aplicación. Use Azure Key Vault para almacenar certificados TLS para aumentar la seguridad y un proceso de renovación y rotación de certificados más sencillo.
Reduzca la superficie expuesta a ataques y proteja la configuración. Quite las configuraciones predeterminadas que no necesite y proteja la configuración de Application Gateway para reforzar los controles de seguridad. Cumpla todas las restricciones del grupo de seguridad de red (NSG) para Application Gateway.
Use un servidor del sistema de nombres de dominio (DNS) adecuado para los recursos del grupo de back-end. Cuando el grupo de back-end contiene un nombre de dominio completo (FQDN) que se puede resolver, la resolución DNS se basa en una zona DNS privada o en un servidor DNS personalizado (si está configurado en la red virtual) o usa el DNS proporcionado por Azure predeterminado.
Supervise la actividad anómala. Revise periódicamente los registros para comprobar si hay ataques y falsos positivos. Envíe registros de WAF desde Application Gateway a la información de seguridad centralizada y la administración de eventos (SIEM) de su organización, como Microsoft Sentinel, para detectar patrones de amenazas e incorporar medidas preventivas en el diseño de la carga de trabajo.
Recomendaciones
| Recomendación | Ventajas |
|---|---|
| Configure una directiva TLS para mejorar la seguridad. Asegúrese de usar la versión más reciente de la directiva TLS. | Use la directiva TLS más reciente para aplicar el uso de TLS 1.2 y cifrados más seguros. La directiva TLS incluye el control de la versión del protocolo TLS y los conjuntos de cifrado, así como el orden en que un protocolo de enlace TLS usa cifrados. |
| Use Application Gateway para la terminación de TLS. | El rendimiento mejora porque las solicitudes que van a distintos back-end no tienen que volver a autenticarse en cada back-end. La puerta de enlace puede acceder al contenido de la solicitud y tomar decisiones de enrutamiento inteligentes. Solo tiene que instalar el certificado en Application Gateway, lo que simplifica la administración de certificados. |
| Integre Application Gateway con Key Vault para almacenar certificados TLS. | Este enfoque proporciona una mayor seguridad, una separación más sencilla de roles y responsabilidades, compatibilidad con certificados administrados y un proceso de renovación y rotación de certificados más sencillo. |
| Cumpla todas las restricciones de NSG para Application Gateway. | La subred de Application Gateway admite grupos de seguridad de red, pero hay algunas restricciones. Por ejemplo, se prohíben algunas comunicaciones con ciertos rangos de puertos. Asegúrese de comprender las implicaciones de esas restricciones. |
Optimización de costos
La optimización de costes se centra en detectar patrones de gasto, priorizar inversiones en áreas críticas y optimizar en otras para ajustarse al presupuesto de la organización al tiempo que se cumplen los requisitos empresariales.
Los principios de diseño de optimización de costos proporcionan una estrategia de diseño de alto nivel para lograr esos objetivos y realizar las compensaciones necesarias en el diseño técnico relacionado con Application Gateway y su entorno.
Lista de comprobación de diseño
Comience su estrategia de diseño basándose en la lista de comprobación de revisión de diseño para Optimización de costes para inversiones. Ajuste el diseño para que la carga de trabajo esté alineada con el presupuesto asignado para la carga de trabajo. El diseño debe usar las funcionalidades adecuadas de Azure, supervisar las inversiones y encontrar oportunidades para optimizar con el tiempo.
Familiarícese con los precios de Application Gateway y WAF. Elija las opciones de tamaño adecuado para satisfacer la demanda de capacidad de carga de trabajo y ofrecer un rendimiento esperado sin perder recursos. Para calcular los costos, use la calculadora de precios.
Quite las instancias de Application Gateway sin usar y optimice las instancias infrautilizadas. Para evitar costos innecesarios, identifique y elimine instancias de Application Gateway que tengan grupos de back-end vacíos. Detenga las instancias de Application Gateway cuando no estén en uso.
Optimice el costo de escalado de la instancia de Application Gateway. Para optimizar la estrategia de escalado y reducir las demandas de wokload, consulte Recomendaciones para optimizar el costo de escalado.
Para escalar el servicio según los requisitos de tráfico de la aplicación, use el escalado automático en Application Gateway v2.
Supervise las métricas de consumo de Application Gateway y comprenda su impacto en el costo. Azure cobra por las instancias de uso medido de Application Gateway en función de las métricas de seguimiento. Evalúe las distintas métricas y unidades de capacidad y determine los impulsores de costos. Para obtener más información, consulte Microsoft Cost Management.
Recomendaciones
| Recomendación | Ventajas |
|---|---|
| Detenga las instancias de Application Gateway cuando no estén en uso. Para obtener más información, vea Stop-AzApplicationGateway y Start-AzApplicationGateway. | Una instancia detenida de Application Gateway no incurre en costos. Las instancias de Application Gateway que se ejecutan continuamente pueden incurrir en costos innecesarios. Evalúe los patrones de uso y detenga las instancias cuando no las necesite. Por ejemplo, espere un uso bajo después del horario comercial en entornos de desarrollo y pruebas. |
| Supervise métricas clave de Application Gateway como factores de coste, como: - Unidades de capacidad facturadas estimadas. - Unidades de capacidad facturables fijas. - Unidades de capacidad actuales. Asegúrese de tener en cuenta los costos de ancho de banda. |
Use estas métricas para validar si el recuento de instancias aprovisionadas coincide con la cantidad de tráfico entrante y asegúrese de usar completamente los recursos asignados. |
Excelencia operativa
La excelencia operativa se centra principalmente en procedimientos para prácticas de desarrollo, observabilidad y administración de versiones.
Los principios de diseño de Excelencia Operativa proporcionan una estrategia de diseño de alto nivel para alcanzar los objetivos relacionados con los requisitos operativos del flujo de trabajo.
Lista de comprobación de diseño
Inicie la estrategia de diseño en función de la lista de comprobación de revisión de diseño para la excelencia operativa para definir procesos de observabilidad, pruebas e implementación relacionados con Application Gateway.
Habilite los diagnósticos en Application Gateway y WAF. Recopile registros y métricas para que pueda supervisar el estado de la carga de trabajo, identificar las tendencias en el rendimiento y la confiabilidad de la carga de trabajo y solucionar problemas. Para diseñar el enfoque general de supervisión, consulte Recomendaciones para diseñar y crear un sistema de supervisión.
Use métricas de capacidad para supervisar el uso de la capacidad aprovisionada de Application Gateway. Establezca alertas sobre métricas para notificarle problemas de capacidad u otros problemas en Application Gateway o en el back-end. Use los registros de diagnóstico para administrar y solucionar problemas con las instancias de Application Gateway.
Use Azure Monitor Network Insights para obtener una vista completa del estado y las métricas de los recursos de red, incluida Application Gateway. Use la supervisión centralizada para identificar y resolver rápidamente problemas, optimizar el rendimiento y garantizar la confiabilidad de las aplicaciones.
Supervise las recomendaciones de Application Gateway en Azure Advisor. Configura alertas para notificar a tu equipo cuando tengas nuevas recomendaciones críticas para tu instancia de Application Gateway. Advisor genera recomendaciones basadas en propiedades, como la categoría, el nivel de impacto y el tipo de recomendación.
Recomendaciones
| Recomendación | Ventajas |
|---|---|
| Configure alertas para notificar al equipo cuando las métricas de capacidad, como el uso de CPU y el uso de unidades de proceso, cruzan los umbrales recomendados. Para configurar un conjunto completo de alertas basadas en métricas de capacidad, consulte Compatibilidad con el tráfico elevado de Application Gateway. |
Establezca alertas cuando las métricas crucen umbrales para que sepa cuándo aumenta el uso. Este enfoque garantiza que tiene tiempo suficiente para implementar los cambios necesarios en la carga de trabajo y evita la degradación o las interrupciones. |
| Configure alertas para notificar al equipo las métricas que indican problemas en Application Gateway o en el back-end. Se recomienda evaluar las siguientes alertas: - Recuento de hosts no saludables - Estado de respuesta, como errores 4xx y 5xx - Estado de respuesta del servidor, como errores 4xx y 5xx - Tiempo de respuesta del último byte del servidor - Tiempo total de Application Gateway Para más información, consulte Métricas para Application Gateway. |
Use alertas para ayudar a garantizar que el equipo pueda responder a problemas de forma oportuna y facilitar la solución de problemas. |
| Habilite los registros de diagnóstico en Application Gateway y WAF para recopilar registros de firewall, registros de rendimiento y registros de acceso. | Use registros para ayudar a detectar, investigar y solucionar problemas con las instancias de Application Gateway y la carga de trabajo. |
| Use Advisor para supervisar problemas de configuración de Key Vault. Establezca una alerta para notificar a su equipo cuando reciba la recomendación que indique resolver el problema de Azure Key Vault para su Application Gateway. | Use alertas de Advisor para mantenerse al día y corregir problemas inmediatamente. Evite cualquier problema relacionado con el plano de control o el plano de datos. Application Gateway comprueba la versión del certificado renovado en la instancia de Key Vault vinculada cada 4 horas. Si la versión del certificado no es accesible debido a una configuración incorrecta de Key Vault, registra ese error e inserta una recomendación de Advisor correspondiente. |
Eficiencia del rendimiento
La eficiencia del rendimiento consiste en mantener la experiencia del usuario incluso cuando hay un aumento de la carga mediante la administración de la capacidad. La estrategia incluye el escalado de recursos, la identificación y la optimización de posibles cuellos de botella y la optimización del rendimiento máximo.
Los principios de diseño eficiencia del rendimiento proporcionan una estrategia de diseño de alto nivel para lograr esos objetivos de capacidad con respecto al uso esperado.
Lista de comprobación de diseño
Estime los requisitos de capacidad de Application Gateway para satisfacer las necesidades de tu carga de trabajo. Aproveche las ventajas de la funcionalidad de escalado automático en Application Gateway v2. Establezca los valores adecuados para el número mínimo y máximo de instancias. Dimensionar adecuadamente la subred dedicada que requiere Application Gateway. Para obtener más información, consulte recomendaciones de para planear la capacidad.
Application Gateway v2 se escala horizontalmente en función de muchos aspectos, como CPU, rendimiento de red y conexiones actuales. Para determinar el recuento aproximado de instancias, tenga en cuenta estas métricas:
Unidades de proceso actuales: Esta métrica indica el uso de la CPU. Una instancia de Application Gateway es igual a aproximadamente 10 unidades de proceso.
Rendimiento: Una instancia de Application Gateway puede atender aproximadamente 500 Mbps de rendimiento. Estos datos dependen del tipo de carga.
Tenga en cuenta esta ecuación al calcular los recuentos de instancias.
Después de calcular el recuento de instancias, compare ese valor con el número máximo de instancias. Utiliza esta comparación para determinar qué tan cerca estás de la capacidad máxima disponible.
Aproveche las ventajas de las características para el escalado automático y las ventajas de rendimiento. La SKU v2 ofrece escalado automático, que escala verticalmente Application Gateway a medida que aumenta el tráfico. En comparación con la SKU v1, la SKU v2 tiene funcionalidades que mejoran el rendimiento de la carga de trabajo. Por ejemplo, la SKU v2 tiene un mejor rendimiento de descarga de TLS, tiempos de implementación y actualización más rápidos y compatibilidad con redundancia de zona. Para más información, consulte Escalado de Application Gateway v2 y WAF v2.
Si usa Application Gateway v1, considere la posibilidad de migrar a Application Gateway v2. Para obtener más información, consulte Migración de Application Gateway y WAF de v1 a v2.
Recomendaciones
| Recomendación | Ventajas |
|---|---|
| Establezca el recuento mínimo de instancias en un nivel óptimo en función del recuento de instancias estimado, las tendencias reales de escalado automático de Application Gateway y los patrones de aplicación. Revise las unidades de cómputo del último mes. Esta métrica representa el uso de CPU de la puerta de enlace. Para definir el número mínimo de instancias, divida el uso máximo en 10. Por ejemplo, si la media de unidades de proceso actuales del mes pasado es de 50, establezca el recuento mínimo de instancias en cinco. |
Para Application Gateway v2, el escalado automático tarda aproximadamente tres a cinco minutos antes de que el conjunto adicional de instancias esté listo para atender el tráfico. Durante ese tiempo, si Application Gateway tiene picos cortos en el tráfico, espere una latencia transitoria o una pérdida de tráfico. |
| Establezca el número máximo de instancias de escalado automático en el máximo posible, que es 125 instancias. Asegúrese de que la subred dedicada de Application Gateway tiene suficientes direcciones IP disponibles para admitir el mayor conjunto de instancias. Si la demanda de tráfico necesita más de 125 instancias, puede usar Azure Traffic Manager o Azure Front Door frente a Application Gateway. Para más información, consulte Conexión de Azure Front Door Premium a una instancia de Azure Application Gateway con Private Link y Uso de Azure App Gateway con Azure Traffic Manager. |
Application Gateway se puede escalar horizontalmente según sea necesario para manejar el tráfico creciente a tus aplicaciones. Esta configuración no aumenta el costo porque solo se paga por la capacidad consumida. |
| Ajustar el tamaño adecuado a la subred dedicada de Application Gateway. Se recomienda encarecidamente una subred /24 para una implementación de Application Gateway v2. Si desea implementar otros recursos de Application Gateway en la misma subred, tenga en cuenta las direcciones IP adicionales que necesita para el recuento máximo de instancias. Para más consideraciones sobre cómo cambiar el tamaño de la subred, consulte Configuración de la infraestructura de Application Gateway. |
Use una subred /24 para proporcionar compatibilidad con todas las direcciones IP que necesita la implementación de Application Gateway v2. Application Gateway usa una dirección IP privada para cada instancia y otra dirección IP privada si configura una dirección IP de front-end privada. La SKU de Standard_v2 o WAF_v2 puede admitir hasta 125 instancias. Azure reserva cinco direcciones IP en cada subred para su uso interno. |
Directivas de Azure
Azure proporciona un amplio conjunto de directivas integradas relacionadas con App Service y sus dependencias. Un conjunto de directivas de Azure puede auditar algunas de las recomendaciones anteriores. Por ejemplo, puede comprobar si:
Debe habilitar WAF para Application Gateway. Implemente WAF delante de las aplicaciones web orientadas al público para agregar otra capa de inspección para el tráfico entrante. WAF proporciona protección centralizada para las aplicaciones web. Ayuda a evitar vulnerabilidades de seguridad comunes, como inyecciones de SQL, scripting entre sitios y ejecuciones de archivos locales y remotas. También puede usar reglas personalizadas para restringir el acceso a las aplicaciones web en función de países o regiones, intervalos de direcciones IP y otros parámetros HTTP o HTTPS.
WAF debe usar el modo especificado para Application Gateway. Asegúrese de que todas las directivas de WAF para Application Gateway usen el modo de detección o prevención .
Debe habilitar Azure DDoS Protection. Habilite DDoS Protection para todas las redes virtuales que tengan una subred que contenga Application Gateway con una dirección IP pública.
Para una gobernanza completa, revise las definiciones integradas de Azure Policy y otras directivas que podrían afectar a las redes.
Recomendaciones de Azure Advisor
Azure Advisor es un consultor en la nube personalizado que le ayuda a seguir los procedimientos recomendados para optimizar las implementaciones de Azure. Estas son algunas recomendaciones que pueden ayudarle a mejorar la confiabilidad, la seguridad, la rentabilidad, el rendimiento y la excelencia operativa de Application Gateway.
- Confiabilidad
- Seguridad
- Optimización de costos
- Rendimiento
- Excelencia operativa
Pasos siguientes
- Uso de puertas de enlace de API en microservicios
- Azure Firewall y Application Gateway para redes virtuales
- Protección de las API con Application Gateway y Azure API Management
- Aplicaciones web administradas de forma segura
- Red de confianza cero para aplicaciones web con Azure Firewall y Application Gateway
- Inicio rápido: Tráfico web directo con Application Gateway a través de Azure Portal